32 761 Verwerking en bescherming persoonsgegevens

Nr. 68 BRIEF VAN DE STAATSSECRETARIS VAN VEILIGHEID EN JUSTITIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 juli 2014

In het algemeen overleg van 7 maart 2012 (Kamerstuk 32 761, nr. 27) heb ik toegezegd u periodiek op de hoogte te houden van de stand van zaken over de onderhandelingen in Brussel over de Algemene verordening gegevensbescherming en de richtlijn gegevensbescherming opsporing en vervolging.

In deze brief doe ik verslag van de onderhandelingen in de maanden april, mei en juni 2014. De onderhandelingen betroffen zowel de Algemene verordening gegevensbescherming als de richtlijn gegevensbescherming opsporing en vervolging. In de verslagperiode zijn vijf vergaderingen gewijd aan de verordening. Over de eerste vergadering heb ik verslag gedaan in mijn rapportage over het eerste kwartaal van 2014. De andere vier vergaderingen zijn gewijd aan onderwerpen die allemaal al eerder thematisch zijn behandeld onder het Ierse Voorzitterschap. Voor Nederland kwam dit neer op een herhaling van zetten. Twee vergaderingen zijn gewijd aan de richtlijn. Het Griekse Voorzitterschap had zich tot doel gesteld een gedeeltelijk algemeen akkoord te bereiken op Hoofdstuk V van de verordening (internationale doorgiften) en op de onderwerpen profileren, de verhouding tussen verantwoordelijke en bewerker en dataportabiliteit. Op eerstgenoemd onderwerp is dat akkoord, zij het voorwaardelijk, bereikt op de JBZ Raad van juni 2014. U bent daarover separaat op de hoogte gebracht (Kamerstuk 32 317, nr. 240).

Raadswerkgroep 10 en 11 april 2014

Als eerste onderwerp stelt het Voorzitterschap een nieuw document aan de orde over de verhouding tussen verantwoordelijke en betrokkene. De vraag is of dit document wel alle antwoorden geeft op de vragen die dit onderwerp oproept. Bij de cloudcomputing kan niet meer worden uitgegaan van een verhouding waarin de verantwoordelijk alles bepaalt en de bewerker uitsluitend uitvoert. Eerder zal de verantwoordelijke afhankelijk worden van de bewerker. Dit is van diepgaande betekenis voor het gegevensbeschermingsrecht, voor de definities, de grondslagen en de doorgiften aan derde land, maar die betekenis moet zijn weg nog vinden naar de verordening, vindt Nederland. Nederland heeft begrepen dat de Commissie in een ander verband dan deze werkgroep samen met de lidstaten werkt aan de ontwikkeling van Europese cloudcontracten. Nederland steunt dat graag, maar zou graag zien dat de Commissie of misschien iemand uit die groep een toelichting geeft op die werkzaamheden en aandacht schenkt aan het verband tussen die werkzaamheden en dat wat in deze raadswerkgroep gebeurt.

Wat het document betreft ziet Nederland in elk geval drie aspecten die nog niet in alle duidelijkheid zijn opgelost. Modelcontracten tussen verantwoordelijken en bewerkers waarin een nieuw evenwicht gevonden wordt tussen deze partijen. Beveiligingsverplichtingen als onderdeel van risicomanagement dat in cloudverhoudingen eerder door de bewerker dan door de verantwoordelijke moet worden geboden. Tenslotte transparantie tussen verantwoordelijke en bewerker over aspecten als «whereabouts» van de data en daarmee verbonden vraagstukken. Ook dat ontbreekt nog, volgens Nederland.

Als tweede onderwerp staat de data protectie impact assessment en het voorafgaand onderzoek op de agenda. Nederland maakt een studievoorbehoud bij het hele document. Nederland uit zijn teleurstelling over het feit dat het Voorzitterschap op dit onderwerp voorstellen verwachtte van de lidstaten. Nederland gaf aan de oproep gehoor, maar ziet van zijn inspanningen niets terug in dat document. Nederland denkt ook dat de voorstellen van het Voorzitterschap niet de goede kant op gaan. Er is onvoldoende aandacht gegeven aan de omschrijving van de risico's voor datasubjecten die een impact assessment verlangen, terwijl daarvoor bruikbare criteria beschikbaar zijn. Verder accepteert Nederland het besluit van de Raad om een voorafgaande toets op risico's door de toezichthouder mogelijk te maken. De uitwerking hiervan moet echter niet in vrijblijvendheid eindigen, maar rechtszekerheid bieden voor partijen en de toezichthouder een goed onderscheid kunnen bieden tussen overleg en handhaving. Nederland wijst daarom voorafgaand overleg als instrument af en geeft de voorkeur aan voorafgaande instemming van toezichthouder, zij het als ultimum remedium.

Als derde onderwerp staat de verhouding tussen de onderhandelingen over de verordening en de onderhandelingen over de herziening van het Verdrag inzake de bescherming van persoonsgegevens van de Raad van Europa op de agenda. Nederland is van oordeel dat laatstbedoeld verdrag een minimumbeschermingsniveau moet bieden dat het voor derde landen binnen en buiten Europa gemakkelijk maakt om het te aanvaarden.

Als vierde onderwerp staat het profileren op de agenda. Nederland denkt toch dat in een nieuw voorstel over het geheel een stap teruggezet is. Bij een vorige behandeling van dit onderwerp is geconstateerd dat er duidelijk consensus was over het verlangen van de Commissie om de bestaande bepaling van artikel 15 van richtlijn 95/46/EG te behouden. Dat beschermingsniveau moet niet worden verlaagd. Nederland vindt dat het geheel geautomatiseerd verwerken van gegevens die in allerlei opzichten gevoelig zijn voor het individu en waaruit dan vervolgens besluiten of maatregelen voortvloeien voor de rechtspositie van het individu een zaak waartegen de betrokkene beschermd moet blijven worden. Maar Nederland heeft uit de voorgaande behandeling zeker niet afgeleid dat dat die specifieke strenge bescherming ook voor alle andere vormen van geautomatiseerd beslissen met inbegrip van profileren moet gelden. Nederland wil een veel flexibeler opzet van het profileren en wijst op de noodzaak daarbij vooral expliciet de informatieplichten van de verantwoordelijke en de rechten van inzage en verzet bij te betrekken. Maar profileren heeft ook positieve aspecten, ook voor betrokkenen, en dat wordt nu ten onrechte ontkend. Bij een flexibeler systeem kan ook bezien worden of het aanmaken van profielen in alle gevallen zo bezwaarlijk is dat dit expliciet geregeld moet worden. Dat gebeurt vaak op basis van geanonimiseerde gegevens, en die vielen toch niet meer onder het bereik van de verordening, vindt Nederland. Ook over de verwerkingsgrondslagen verder moet worden nagedacht. De grondslagen contract, wettelijk voorschrift en toestemming zijn correct voor de strikt geautomatiseerde beslissystemen, maar gerechtvaardigd belang moet ook een mogelijke grondslag zijn voor minder ingrijpende maatregelen. Dat moet aansluiten bij de grondslagen voor direct marketing, waarmee dit onderwerp verwant is.

Raadswerkgroep 24 april 2014

In deze raadswerkgroep is de derde behandeling van de tekst van de richtlijn voortgezet. De behandeling betrof de artikelen 7a en 8 van hoofdstuk II en de artikelen 10, 11, 11a en 11b van hoofdstuk III.

Het voorzitterschap stelt voor een nieuw artikel 7a in te voegen, waarin wordt geregeld dat specifieke voorwaarden, op basis van EU- of nationale wetgeving, ook door de ontvanger in een andere lidstaat nageleefd dienen te worden. Deze specifieke voorwaarden mogen niet verschillen van die welke gelden voor een ontvangende publieke autoriteit in die lidstaat. De Nederlandse delegatie is positief over dit voorstel maar de term «specifieke voorwaarden» vereist verheldering. Verder vraagt de Nederlandse delegatie zich af wat de meerwaarde is van het tweede lid. Ook moeten er, anders dan op grond van de huidige tekst, gelijke voorwaarden zijn voor de autoriteiten die gegevens verstrekken en verwerken. Dit kan tot uitdrukking worden gebracht door de laatste drie woorden van dit lid te vervangen door «the recipient in the transmitting MS». Tenslotte steunt Nederlandse delegatie het voorstel van een andere delegatie om een nieuw derde lid toe te voegen, waarin wordt geregeld dat als gegevens door een lidstaat aan een andere lidstaat zijn overgedragen, de verstrekkende lidstaat kan verzoeken dat de ontvangende lidstaat de betrokkene niet over de gegevensverwerking informeert dan na instemming van de verstrekkende lidstaat. Het kaderbesluit dataprotectie bevat een soortgelijke regeling (artikel 16, tweede lid).

De Nederlandse delegatie wijst erop dat in artikel 10, over de berichtgeving en modaliteiten voor de uitoefening van de rechten van de betrokkene, het derde lid overlap vertoont met het tweede lid. Daarom kan het derde lid beter worden geschrapt. Overigens wordt er in het tweede en vierde lid uitgegaan van de schriftelijke verstrekking van informatie, dit is minder goed verenigbaar met de Nederlandse wetgeving, die voorschrijft dat alleen de weigering om gegevens te verstrekken schriftelijk kan geschieden (artikel 18, tweede lid, Wet justitiële en strafvorderlijke gegevens). Dit om te voorkomen dat het inzagerecht door werkgevers wordt gebruikt om werknemers te screenen. De Nederlandse delegatie tekent een studievoorbehoud aan bij het tweede lid. Verder vraagt de Nederlandse delegatie waarom de tekst van het vierde lid, zoals dat door de Commissie was voorgesteld, is geschrapt en verzoekt die tekst terug te plaatsen. Ook stelt de Nederlandse delegatie voor om in de bepaling over de reactie op een verzoek van de betrokkene om informatie een concrete termijn op te nemen, bijvoorbeeld 4 weken naar het model van de verordening. Tenslotte maakt de Nederlandse delegatie een studievoorbehoud bij het vijfde lid, vanwege de mogelijke financiële consequenties daarvan.

De Nederlandse delegatie maakt zich zorgen over de artikelen 11, 11a en 11b, die betrekking hebben op het recht van de betrokkene op informatie over de gegevensverwerking, omdat de in deze bepalingen neergelegde verplichtingen voor de politie niet goed uitvoerbaar zijn. De thans voorgestelde regeling bevat een groot aantal verschillende afwegingen en afwegingsmomenten die in de praktijk tot problemen gaan leiden. Daarom maakt de Nederlandse delegatie een voorbehoud bij deze artikelen, en bepleit een grondige herziening van deze artikelen. Daarbij zou kunnen worden gedacht aan een actieve informatieplicht op verzoek van de betrokkene, eventueel aangevuld met informatie in de vorm van foldermateriaal of op websites zodat de betrokkene op de hoogte kan komen van zijn rechten.

Raadswerkgroep 7 en 8 mei 2014

Als eerste onderwerp staat een nieuwe tekst van Hoofdstuk V dat de internationale doorgiften regelt op de agenda. Bij de systematiek van dit hoofdstuk blijft Nederland van oordeel dat het een verlies is dat de primaire verantwoordelijkheid van de verantwoordelijke om zelf een beoordeling te maken van het risico van het doorgeven van gegevens aan een derde land vervangen wordt door een stelsel van regels. Voor dat stelsel bestaat echter de nodige steun. Nederland concentreert zich op enkele aandachtspunten. Bij de regeling van de passende waarborgen die de verantwoordelijke in acht moet nemen bij de doorgifte bepleit Nederland dat er niet alleen ruimte moet zijn voor voorgeschreven modelcontracten, maar dat de creativiteit van de praktijk ruimte moet worden gegeven om zelf modellen te ontwikkelen. Nederland vindt verder dat doorgiften naar derde landen krachtens een gedragscode of privacycertificaat mogelijk moet zijn zonder aanvullende toestemming van de toezichthouder, omdat bij de totstandkoming van die instrumenten al is voorzien in bemoeienis van die toezichthouder. Zonodig moet nog eens naar de voorwaarden worden gekeken, maar een dubbele toestemming is niet de goede weg, aldus Nederland. Nederland maakt nog enkele opmerkingen van minder fundamentele aard over de bindende bedrijfsvoorschriften. Nadat een eerdere discussie over Hoofdstuk V weinig ruimte leken te bieden voor het Nederlandse voorstel om ter beveiliging van databases van nationaal belang (zoals de paspoortgegevens en het elektronisch patiëntendossier) een selectief exportverbod bij wet te kunnen instellen, lijkt deze discussie Nederland meer te bieden. Er ontstaat enig begrip bij andere grote lidstaten, zij het dat enkele van deze lidstaten verder willen gaan in het tegengaan van vorderingen tot het leveren van gegevens uit derde landen. Nederland zal zich met deze lidstaten nader verstaan en stelt tekstsuggesties van die lidstaten op prijs. Dit onderwerp zal terugkeren.

Het tweede onderwerp is de samenwerkingsregeling tussen toezichthouders in grensoverschrijdende zaken. Nederland is teleurgesteld over de agendering van dit onderwerp. Nederland meent dat inmiddels voldoende duidelijk is dat geen van de voorgestelde oplossingsrichtingen een voldoende meerderheid heeft. Dan ligt het voor de hand te bezien of een compromis mogelijk is, in plaats van een nieuwe variant van het voorstel van de Commissie te bespreken. Nederland beperkt zich daarom tot het aangeven van het eigen standpunt. Uitgangspunt moet zijn dat de toezichthouder van de lidstaat waar de hoofdvestiging zich bevindt als leidende autoriteit moet worden aangewezen. Er zijn voldoende voorstellen gedaan om aan het begrip «burgernabijheid» inhoud te kunnen geven. En Nederland blijft van oordeel dat competentiegeschillen tussen toezichthouders bindend moeten worden opgelost door de European Data Protection Board. Het nieuwe voorstel om bevoegdheden in een register vast te leggen vindt Nederland sympathiek, maar Nederland mist een regeling van de procedure die tot de inschrijving leidt en de regeling van rechtsgevolgen ervan.

Raadswerkgroep 15 en 16 mei 2014

Als eerste onderwerp staat opnieuw Hoofdstuk V (internationale doorgiften) op de agenda. Nederland is enthousiast over het nieuwe discussiestuk. Op heel veel punten geeft het Voorzitterschap een goede samenvatting van de discussies en heeft het merkbaar geluisterd naar de zorgen van de lidstaten. Dit wordt algemeen op prijs gesteld, al blijven enkele lidstaten zorgen houden. Er vindt een levendige discussie plaats over de structuur van dit hoofdstuk. Vervanging van eigen verantwoordelijkheid door regelgeving zal volgens een kleine meerderheid van de lidstaten, waaronder Nederland, dringend noodzaken tot de opname van het gerechtvaardigd belang van de verantwoordelijk als rechtvaardigingsgrond voor data-export naar derde landen. Dat is onontkoombaar, omdat de aantallen toereikendheidsbeslissingen van de Commissie, goedgekeurde standaardcontractsvoorwaarden en bindende bedrijfsvoorschriften zo gering zijn dat de praktijk in de problemen komt wanneer niet op andere wijze in data-export kan worden voorzien. Nederland concentreert zich vervolgens op een nieuw voorstel voor de door uw Kamer dringend gewenste voorziening voor de beveiliging van de eerdergenoemde databases. Nederland kan goed leven met een voorstel van het Voorzitterschap om de nationale en de Uniewetgever de mogelijkheid te geven data-export aan restricties te binden in een zwaarwegend algemeen belang. Enkele grote lidstaten willen verdergaande restricties op data-export als reactie op vorderingen uit derde landen, maar krijgen daarvoor niet voldoende steun van Commissie en Voorzitterschap. Wel zal de Raad de mogelijkheid krijgen een akkoord op Hoofdstuk V te binden aan voorwaarden. Dat maakt het mogelijk dat punt nog eens op de agenda te zetten. Nederland zal zich daartegen niet verzetten. De uitkomst van deze discussie is voor Nederland niettemin zeer bevredigend.

Het tweede onderwerp betreft voortzetting van de discussie over de grensoverschrijdende samenwerking tussen de toezichthouders. Nederland intervenieert in deze teleurstellende discussie enkele malen op punten van ondergeschikte aard.

Raadswerkgroep 19 mei 2014

In de werkgroepvergadering van 19 mei zijn de hoofdstukken III en IV van de ontwerprichtlijn behandeld. Dit betrof de artikelen 12 tot en met 32.

In artikel 13 wordt de beperking van het recht van toegang geregeld. De Nederlandse delegatie heeft aangegeven dat het graag het tweede lid geschrapt zou zien. In de voetnoot is abusievelijk vermeld dat deze wens het derde lid zou betreffen. Verder pleit de Nederlandse delegatie voor schrapping van de voerkante haken in het derde lid, zodat de woorden «en verzoeken om rechterlijke tussenkomst», worden opgenomen in de tekst van deze bepaling. Tenslotte heeft de Nederlandse delegatie verwezen naar de wens tot toevoeging van een nieuw derde lid aan artikel 7a, waarin wordt geregeld dat de verstrekkende lidstaat bezwaar kan maken tegen de verstrekking van informatie aan de betrokkene.

Bij artikel 15, over het recht van rectificatie, vraagt de Nederlandse delegatie zich af wat bedoeld wordt met de laatste woorden van deze bepaling («inclusief het verschaffen van een aanvullende verklaring»). Wat betreft het toegevoegde lid 1b geeft Nederland de voorkeur aan het gebruik van het woord «kenmerken» of «markeren» in plaats van «blokkeren». Het is niet wenselijk dat de gegevensverwerking wordt geblokkeerd als de betrokkene de juistheid van de gegevens aanvecht, omdat de juistheid van die gegevens juist onderdeel vormt van het strafproces. Op dit punt dient de tekst meer in lijn te worden gebracht met die van artikel 18, tweede lid, van het kaderbesluit dataprotectie. Verder pleit Nederland voor schrapping van de haken in het tweede lid, zodat de woorden «en verzoeken om rechterlijke tussenkomst», worden opgenomen in de tekst van deze bepaling.

Bij artikel 24, over logging, heeft de Nederlandse delegatie aarzelingen bij de (geautomatiseerde) vastlegging van het doel van de gegevensverwerking; een dergelijke vastlegging kan beter worden geregeld in artikel 23, over documentering.

De Nederlandse delegatie betreurt het dat de bepaling over de samenwerking met de toezichthoudende autoriteit, artikel 25, is geschrapt. Nederland acht dit een nuttige bepaling, en zal hierop terugkomen bij de behandeling van de bevoegdheden van de toezichthoudende autoriteit.

De tekst van artikel 26, eerste lid, over voorafgaande raadpleging van de toezichthoudende autoriteit, is verbeterd maar de Nederlandse delegatie zou liever zien dat deze nauwer wordt aangesloten bij die van artikel 23 van het kaderbesluit dataprotectie, waarin wordt gesproken van «de fundamentele rechten en vrijheden, in het bijzonder de privacy». En in het derde lid dient het woord «shall» te vervangen door «may», omdat het niet tot de taak van de toezichthoudende autoriteit behoort om de verantwoordelijke van advies te dienen.

Bij artikel 28, over de melding van een inbreuk in verband met persoonsgegevens aan de toezichthoudende autoriteit, ziet de Nederlandse delegatie graag het toegevoegde lid 1a geschrapt, en tekent bij deze bepaling een studievoorbehoud aan. Verder is Nederland van mening dat een inbreuk op gegevens die door een andere lidstaat zijn verstrekt, ook aan die lidstaat gemeld zou moeten worden. Dit zou kunnen worden geregeld door middel van opneming van een tekst als volgt: «Member States shall provide that where the data breach involves personal data that have been transmitted by another Member State, the information, meant in Article 28, paragraph 3, will be communicated to this Member State without undue delay».

De Nederlandse delegatie tekent eveneens een studievoorbehoud aan bij artikel 29, over de melding van een inbreuk in verband met persoonsgegevens aan de betrokkene, omdat een dergelijke verplichting moet worden bezien in samenhang met die inzake de verstrekking van informatie aan de betrokkene (artikelen 10 en 11).

Raadswerkgroep 12 juni 2014

In de laatste raadswerkgroep onder Grieks Voorzitterschap zijn er drie thema’s opnieuw besproken. Het betreft dataportabiliteit, de verhouding verantwoordelijke en bewerker en data protection impact assessments en voorafgaand overleg. Nederland acht deze besprekingen onbevredigend. Zij geven geen nieuwe inzichten of nieuwe impulsen aan de onderhandelingen.

Op het onderwerp dataportabiliteit herhaalt enkele uitgangspunten. Nederland ziet in opname van dat recht zeker meerwaarde, maar is van oordeel dat nadere inkadering van dat recht, ook in verhouding tot het inzagerecht, noodzakelijk blijft. Nederland vindt daarom dat een regel die wellicht meer thuishoort in het consumentenrecht dan in het gegevensbeschermingsrecht zich het beste kan beperken tot de gegevens die door gebruikers zelf zijn verstrekt op sociale netwerksites. Verder is volgens Nederland nodig dat duidelijkheid wordt verschaft over de vraag of na uitoefening van recht gegevens achterblijven bij de verantwoordelijke, bijvoorbeeld omdat deze mede betrekking hebben op derden, en wat de rechtsgevolgen van dat achterblijven zijn. Ook blijft Nederland, net als veel andere lidstaten voorstander van het uitsluiten van de publieke sector bij dit recht.

Op het onderwerp verhouding tussen verantwoordelijke en bewerker maakt Nederland hoofdzakelijk enkele opmerkingen van juridische en redactionele aard bij een stuk dat niet veel verschilt van het stuk dat in april is besproken. Nederland waardeert de inspanningen van het Voorzitterschap, maar mist een werkelijke discussie over de vraag wat de verordening aan de gebruikers van clouddiensten en aan de betrokkenen kan bieden.

Op het onderwerp data protection impact assessments en voorafgaand overleg maakt Nederland een algemeen voorbehoud. Dit onderwerp kan volgens Nederland niet goed los worden behandeld van de andere verplichtingen van verantwoordelijken en de dringende noodzaak te werken aan een risico-georiënteerde benadering. Nederland heeft hieraan een bijdrage geleverd, op verzoek van dit Voorzitterschap, maar niettemin moeten constateren dat daarvan niets in de stukken valt terug te zien. Nederland herinnert eraan dat het niet de enige lidstaat is die van oordeel is dat het desbetreffende onderdeel van de verordening anders moet worden ingericht.

Aan het einde van het Voorzitterschap van Griekenland moet worden vastgesteld dat een eerste succes, ook al is het voorwaardelijk, is behaald. Nederland is Griekenland hiervoor erkentelijk. Nederland is ervan overtuigd dat het Italiaans Voorzitterschap er met deze startpositie in kan slagen meer resultaten te boeken, in afwachting van het aantreden van een nieuw Europees Parlement in juli en een nieuwe Commissie in november.

De Staatssecretaris van Veiligheid en Justitie, F. Teeven

Naar boven